Quarantäne - Info eigenhender externe Mails

Hallo zusammen,

nur mal ne generelle Frage… bei uns wurde nach zwei Crypto-Angriffen auch das SOPHOS eingeführt. Generell ist es bei uns so, dass jegliche von extern eingehenden Mails mit Anhang, oder auch schon mit Bilddatei, in der Quarantäne landen. Der Quarantänereport an den Enduser erfolgt zweimal täglich.

Lt. IT ist dies nur zweimal täglich möglich. Stimmt das?

In der Praxis ist so ne Einstellung nicht gerade optimal bzw. da kommt man sich ja selber schon doof vor, wenn man ne Mail erst Stunden später bemerkt. An den Vertrieb will ich erst gar nicht denkn, Kundenservice stellt sich in meinen Augen auf jeden Fall anders dar. Zusätzlich funktioniert ja auch kein Abwesendheitsassistent.

Mich würd jetzt einfach mal interessieren, ob es wirklich nicht möglich ist, diese Quarantäneinfo mehr als zweimal täglich zu verschicken? Oder gibt’s da vielleicht die Möglichkeit einer Infomail?

Schon vorab vielen Dank für Eure Erfahrungen.

Gruß Bernd

  • Ja, über die Oberfläche der Sophos UTM kannst du nur 2 Zeiten einstellen

  • Wieso wird denn jeder Anhang direkt in Quarantäne gestellt? Es reicht doch, wenn ausführbare Inhalte gefiltert werden einschl. Makrodokumente.

    Ansonsten sollte die IT mal das Userportal freischalten, damit man auch so auf die Quarantäne zugreifen kann.

     

    Was ist mit dem Abwesenheitsassi gemeint?

  • In reply to ThorstenSult:

    Guten Morgen,

    erstmal vielen Dank.

    Ja das hatte ich vergessen zu erwähnen. Das Userportal ist bei uns bei jedem freigeschaltet. Dadurch kann sich auch jeder übers Portal einloggen und seine Mails aus der Quarantäne freigeben. Nur das Problem ist halt, dass man erstmal mitbekommen muss, dass was Neues eingegangen ist. Übrigens auch die Antwortbestätigung hier ausm Forum, erstmal in Quarantäne, und dies obwohl ich extra den Absender auf die Whitelist gesetzt hatte. Naja, irgendwie suboptimal die ganze Geschichte.

    Mit dem Abwesentheitsassi meinte ich nur... da ja jegliche externe Mail mit Anhang oder Bild in der Quarantäne landet und somit erstmal blockiert wird, funktioniert ja auch kein eingestellter Abwesentheitsassi aus Outlook.

    Und weshalb da jeglicher Inhalt erstmal geblockt wird, keine Ahnung. Ich geh mal davon aus, dass die IT dann im Ernstfall jegliche Schuld von sich weisen kann. Auf jeden Fall ist die Sache alles andere als rund.

    Mir gings jetzt eigentlich nur mal darum zu erfahren, ob unsere Einstellungen so normal sind... anscheinend aber wohl nicht.

    Gruß Bernd

  • In reply to Bernd Schweiger:

    Hallo Bernd,

    dass wirklich jegliche Mail mit einem Anhang in der Quarantäne landet, ist absolut übertrieben und unnötig.

    Die Sophos UTM/SG hat zwei verschiedene Virenscanner an Bord. Zusätzlich gibt es noch die Option Sandstorm zu aktivieren (wenn in der Lizenz vorhanden, ist aber auch nachträglich lizenzierbar). Die Variante, die Verantwortung auf die User umzuwälzen, finde ich gelinde gesagt etwas "selbstmörderisch". Es gibt ja nunmal User, die sich in ihrem z. B. kaufm. Bereich super auskennen, aber absolute "IT-Nieten" sind. Und diese sollen dann entscheiden, ob sie das freigeben können oder nicht? 

    Mal eine ganz andere Frage: ihr habt (wenn ich richtig gelesen habe) Sophos noch nicht all zu lange. Hat eure IT denn schon mal eine Schulung zur Firewall gemacht? Ich denke danach wüssten sie, was das Teil so alles kann ;-).

  • In reply to ManuelAbeledo:

    Hallo Bernd,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    First, welcome to the UTM Community!  Apparently, you're a client of the IT department and have no direct input into the configuration of the UTM.  As you can see, folks here try to help.

    I'll repeat here what I've said often in these forums: I have had to repair more than one configuration done his first time by a talented CCIE.  It usually costs the client twice what they would have paid me to do the initial installation.  Even newly-minted SCAs need to get a half-dozen under their belts unless they've been "apprenticed" on their first two installs to an installer with broad experience.

    Just because the UTM is very easy and quick to administer and modify after an experienced installer has designed and created the initial installation doesn't mean that a smart engineer can invent an elegant, initial design.  Hopefully, someone will get some help for your IT staff.  From the sound of things, it won't take much.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    hallo zusammen,

    vielen Dank Euch... wie gesagt, mir ging es einfach mal darum zu erfahren, wie das anderswo praktikabel läuft und halt trotzdem der Schutz noch gewährleistet bleibt.

    Bin ja auch kein IT, daher kann ich zu den speziellen Einstellungen wenig sagen.

    Anfangs letztes Jahres wurd das glaub mal dazugekauft - Sophos Sandstorm ist aber bei uns auch aktiv, zusätzlich in zweiter Instanz dann noch ein Virenscanner von TrendMicro. Gefühlt wurde das bei uns halt ziemlich überhastet eingeführt, und wohl dann auch genauso überhastet umgesetzt. Die Möglichkeit mit dem Userportal hatten wir Enduser anfangs gar nicht, dies wurde erst ein paar Wochen nach Aktivierung freigeschaltet, nachdem es etwas Tumult gegeben hatte. Nur dass es halt so ne tickende Zeitbombe darstellt... naja, mal schaun wie lange es gut geht. Zum andern kann ich keine fundierte Aussage geben, trifft aber wohl den Nagel aufn Kopf.

    Schöne Grüsse Bernd

  • Hallo Bernd,

     

    bei uns werden auch alle Mails mit evtl. gefährlichen Anhängen in die Quarantäne geschoben. Damit dann aber nicht jede Mail mit Anhang dort landet, haben wir alles was bestätigter SPAM und was Schadsoftware enthält während der Übermittlung abgelehnt. Dann haben wir eine Absenderblacklist, die immer aktualisiert wird und eine Whitelist mit Absendern, denen wir vertrauen, wo die Mails dann trotzdem 2-fach gescannt und durch das Sandstormmodul gescannt werden, aber dann nicht mehr in der Quarantäne landen.

    Somit sind am Ende eigentlich nur noch Mails in der Quarantäne, die zwar keine bestätigten SPAMS sind, aber zu über 95% unerwünscht und auch SPAM für uns sind.

     

    MfG

    Rene

  • In reply to Rene H:

    Wir sind ein kleines IT-Systemhaus und betreiben bei mehreren Kunden UTMs mit POP3 Proxy, überall, wo direkt an den MX zugestellt wird haben wir im Normalfall Sonicwall ES's im Einsatz.

    Beim Thema Anhangfilterung stößt man beim Enduser oft auf Unverständnis, aber die ganzen Ransomware-Verschlüsselungen in 2016 haben einfach gezeigt, dass sich viele User zu leicht überlisten lassen, Stichwort Bewerbungsmails auf echte ausgeschriebene Stellen an die fachlich dafür verantwortlichen Mitarbeiter. Kein Kunde zahlt aber gerne die Arbeitszeit für Tape-Recoverys von Fileservern, die dann teilweise auch noch länger offline sind, bis alles wieder auf 'Stand gestern' zurückgeholt wurde... zumal dadurch auch teilweise die Arbeit des laufenden Tages zunichte gemacht wird.

    Seitdem bieten wir Kunden an, Anhangfilter auf ihren Mailscannern zu aktivieren, die mehr als nur die ausführbaren Dateien rausholen, sprich jegliches Officedateiformat, das Makros enthalten könnte. Nachdem die neuen docm, xlsm usw. bereits aktiv gefiltert wurden verlegten sich die Versender dieser Mails  ja eher wieder auf die alten Office Dateiformate, wo man noch nicht gleich erkennen konnte, ob es Makros enthält oder nicht.

    Der Enduser bekommt in diesem Fall aber auch erst gar keine Möglichkeit, sich die Mail selbst zuzustellen (bedingt dadurch, dass es auf den Sonicwalls schlicht nicht möglich wäre). Im Falle Sonicwall erhält er aber umgehend eine Info, dass ein Anhang gefiltert wurde und unsere Hotline kann die Mail nach Prüfung kurzfristig zustellen.

    Beim Sophos Scanner ist eine Benachrichtigung wie schon gesagt nur 2mal täglich möglich (oder alternativ bei jeder einzelnen Mail), dadurch kommt es eben leider zu Verzögerungen. Aber auch hier prüfen wir die Mail vor Freigabeerst, der Enduser kann sich nur Spamverdacht selbst freigeben. Wenn der Enduser möchte richten wir ihm Exceptions für bestimmte Absender ein, damit er die Mails mit Anhängen künftig wieder direkt bekommt.

    Man ist als IT oder IT-Dienstleister immer in der Zwickmühle, die Systeme einerseits vor Ausfall und Verlust schützen zu müssen, dem Enduser aber das tägliche Arbeiten so leicht wie möglich machen zu müssen. Beides passt oft leider nicht unter einen Hut... das fängt schon bei der Größe von Mails an, geht über gesperrte Anhänge bis zu plötzlich aufpoppenden Content blocked Meldungen im Browser. Den Enduser stören Regeln und Einschränkungen immer, egal wie gering sie auch sein mögen, für die IT sind sie allerdings oft das einzig mögliche Werkzeug, um manche User vor sich selbst zu schützen...

  • In reply to kerobra:

    kerobra
    [...]Beim Sophos Scanner ist eine Benachrichtigung wie schon gesagt nur 2mal täglich möglich (oder alternativ bei jeder einzelnen Mail)[...]

    Hi Kevin, 

    das beziehst Du jetzt aber auf die Sonicwall, oder? 

    Die Sophos UTM ist ja "eigentlich" eine Firewall und keine Mail-Appliance. Natürlich hat sie dann hier auch nur abgespeckte Features, wenn es z.B. um Mail-Benachrichtigungen geht. Willst Du mehr... hol Dir die Mail-Appliance ;-). Sophos wäre ja ziemlich blöd, alle dazugehörigen Features in die UTM zu packen, sie wollen ja auch die Mail-Appliance verkaufen.

    In ein Schinkenbrötchen packe ich ja auch nur eine Scheibe (oder zwei) rein. Will ich mehr, muss ich den ganzen Schinken kaufen *lach*.

  • In reply to ManuelAbeledo:

    Hi Manuel,

    nein, das war schon auf die Sophos bezogen, ist aber vermutlich ein "Alleinstellungsmerkmal" der POP3 Proxy Geschichte. Dort gibt es die Option mit Prefetching der POP3-Konten, ohne dass ein POP-Beamer o.ä. aktiv abfragt. Ist Prefetching aktiv kann die UTM Quarantäne-Reports erstellen, ist Prefetching inaktiv erhält der Empfänger für jede abgefangene Mail eine Infomail, dass etwas geblockt wurde.

    Ist natürlich beim Einsatz als Spamfilter absoluter Unsinn, aber wir haben einen Kunden, der das explizit so wollte.

  • Moin,

    die Frage ist schon etwas älter - aber als kurze Erwähnung meine Lösung:

    Ich überwache per cronjob den Quarantäne-Ordner auf der UTM. Für jede Mail die da reinläuft werden exakt zwei Objekte angelegt.

    Befinden sich in dem Ordner (inkl. der Unterordner) also 2 oder mehr Dateien bekomme ich (nicht der echte Empfänger) eine E-Mail. Je nachdem wie viele Dateien sagt es mir auch wie viele E-Mals aktuell drin liegen (denn die Anzahl der Dateien ändert sich ja schematisch).

    Der Cron läuft alle 30 Minuten, und damit bekomme ich was ich brauche - eine sehr zeitnahe Meldung.

    Einziger Nachteil: Wenn spät abends/nachts eine Mail einläuft habe ich am nächsten Morgen eben 6-20 Mails mit dem gleichen Betreff "x Mails in der Quarantäne, bitte prüfen...", aber damit kann ich besser leben als mit einem "oh ich hab vergessen nachzusehen, sorry".

    Denn der originäre Quarantäne-Bericht ist meiner Meinung nach eher unsinnig.

    Das Script ließe sich sicher auch "aufwerten", denn die Empfänger E-Mail Adresse kann aus den Dateien ausgelesen werden. Leider geht es nicht ohne direkte Konfiguration auf der UTM - Void Warranty...

  • In reply to Rouven Schuerken:

    Hallo zusammen,

    wollte mich auch noch einmal melden und vorallem für die vielen hilfreichen Antworten bedanken. Seit gestern gibt's jetzt da auch bei uns eine Lösung.

    Generell ist ja noch immer der Stand, das jegliche Mail mit Dateianhang bei uns erstmal in der Quarantäne landet. Warum ist mir noch immer ein Rätsel, aber die Kollegen der IT sind der Meinung, dass dann besser darauf geachtet wird, was wirklich danach übers Portal freigegeben wird. Das wiederrum kann ja bei uns jeder selbst.

    Alter Stand war ja, dass die Quarantänebenachrichtigung nur zweimal am Tag möglich sei. Dieses Intervall wurde jetzt bei uns auf stündlich angepaßt, mit Ausnahme vom Wochenende. Angeblich kann man das dann einstellen wie man mag, bei uns halt das stündliche Intervall.

    Seitens der IT hieß es nur... war wohl endlich der richtige SOPHOS-Mitarbeiter dran, die Funktion sei zwar nicht offiziell supportet und beschrieben, aber dennoch im Programm vorhanden und einstellbar. Sollten hier Details interessieren muss ich mich da selber erst schlau machen.

    Schöne Grüße Bernd

  • In reply to Bernd Schweiger:

    Hallo Bernd,

    an den Details wäre ich sehr interessiert... würde meinen Usern auch gerne stündlich die Quarantäne-Mail liefern..

    ggf. frag mal eure IT die wissen sicher noch den Workaround den sie eingestellt haben... (Schätze per SSH und nicht über die GUI).

     

  • In reply to zaphod:

    Hallo nochmal,

    habe mal eben den IT-Kollegen gefragt... hier der relevante Teil für das Einrichten eines anderen Intervalls der Quaratänereports. Ich hoffe kommt damit klar.

    Grüße Bernd

     

    wie eben besprochen. Ist aber von Sophos nicht supported!!!

    […]
    Mehr als 2 Quarantäneberichte versenden

    Es gibt im confd zwar nur zwei Werte dazu (digest send_time_one und send_time_two), aber man kann mithilfe eines cronjobs diese Werte regelmäßig verändern und so das gewünschte Ergebnis erreichen.

    Man erstellt beispielsweise die Datei /etc/crontab.mehrspamreports und fügt folgende Zeile ein:
    05 18 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 19:00:00
    Es wird hier jeden Tag um 18:05 Uhr die Uhrzeit zum Versand des Reports auf 19:00 Uhr gesetzt.
    Nach dem Erstellen der Datei muss die Middleware mit /etc/init.d/mdw restart neu gestartet werden, um den Job auch zu übernehmen. Bitte dran denken, dass dabei alle Verbindungen wegfliegen. :)
    Sollte update sicher sein!?!

    Ein Beispiel:

    alle 2 Stunden zwischen 07:00 und 17:00

    Im Webadmin einstellen auf 07:00 und 09:00

    30 09 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 11:00:00
    30 09 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 13:00:00
    30 13 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 15:00:00
    30 13 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 17:00:00
    30 17 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 07:00:00
    30 17 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 09:00:00

    ---------------------------

    Digest stündlich:

    59 23 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 00:00:00
    59 23 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 01:00:00
    59 01 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 02:00:00
    59 01 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 03:00:00
    59 03 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 04:00:00
    59 03 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 05:00:00
    59 05 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 06:00:00
    59 05 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 07:00:00
    59 07 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 08:00:00
    59 07 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 09:00:00
    59 09 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 10:00:00
    59 09 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 11:00:00
    59 11 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 12:00:00
    59 11 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 13:00:00
    59 13 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 14:00:00
    59 13 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 15:00:00
    59 15 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 16:00:00
    59 15 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 17:00:00
    59 17 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 18:00:00
    59 17 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 19:00:00
    59 19 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 20:00:00
    59 19 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 21:00:00
    59 21 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 22:00:00
    59 21 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 23:00:00
    […]

  • In reply to Bernd Schweiger:

    Brilliant!  Simply Brilliant!

    Rather than create multiple extra crontab* files, I prefer to keep all additional cron jobs in /etc/crontab-static .  Then, in WebAdmin, in 'Management >> Up2Date' change 'Firmware Download Interval' to "Manual," [Apply], change it back to its original value and [Apply] again. This step incorporates crontab-static into crontab without the potential disruption caused by restarting middleware.

    MfG - Bob (Bitte auf Deutsch weiterhin.)